Perché il token csrf è stato scoperto al primo posto? Si può sempre controllare dalla richiesta generata dall'intestazione di origine
Non è obbligatorio per un browser fornire l'intestazione. In assenza di un header Origin valido, quali supposizioni dovrebbero fare l'applicazione?
Quindi:
Il tuo suggerimento fornirebbe solo protezione contro attacchi avviati da altri vhost, non da diverse applicazioni sullo stesso vhost
causerà il fallimento di richieste legittime se l'applicazione implementa sharding di dominio
richiede che l'applicazione conosca il dominio che viene servito da
Inoltre, il supporto dell'origine è patchy .
Dato che fornisce un meccanismo per il tracciamento / de-anonimizzazione degli utenti senza fare affidamento sulla persistenza lato client, è improbabile che sia sostenibile a lungo termine come mezzo per garantire l'integrità della sessione.
Perché modificare le intestazioni è facile come estensione .
Regola 1. Non fidarti mai di nulla dall'intestazione.
Leggi altre domande sui tag web-application csrf